阿里云黄瑞瑞：云上“数据星辰”的层层守护机制

上云之路

据说，很多人不能忍受指甲刮玻璃的声音，是因为原始时期野兽牙齿划过人类头骨的声音深深刻在了人类的基因记忆中。

在人类社会的发展史上，安全是和生存并行的两道主线，尤其在进入互联网时代后，在每一个技术进步的关键节点上，人们都不得不先解决安全的问题，只不过对于互联网企业来说，安全最主要防护的对象变成了数据。

而云计算的诞生也给传统数据安全带来了变化，简单来说：类似阿里云一样提供云服务的厂商，在接手了互联网企业的数据后，相应也要承担起数据安全的责任。

某种意义上说，在阿里巴巴面临算力危机时诞生的阿里云计算，开启了阿里巴巴集团的下一个十年，而对于互联网行业来说，云计算帮助小型互联网公司摆脱服务器搭建、运维的高成本，开启的则是一轮崭新的商业模式。

2008年到2013年的那段峥嵘岁月成就了今天的阿里云，从不被看好到克服困难，再到独占潮头，标准的转折与逆袭让这段经历成为诠释阿里云成长最好的标志时期，当我们从故事里走出来回望过去的11年，在我看来，阿里云至少完成了三件有特殊意义的事：

1、搭建完成“飞天”云计算系统，弥补了国内自主研发大规模分布式计算系统的空白。

2、去IOE，用云计算技术替换以IBM为代表的主机、以ORACLE为代表的关系型数据库，以及以EMC为代表的高端存储设备，摆脱了三家国际巨头，将数据安全牢牢掌握在国内企业手中。

3、推广云服务，让计算成为公共服务，支持了小到一个智能路灯，大到智慧城市，以及12306春运购票、双11购物，为这样的互联网生活场景提供了保障。

早期阿里云的诞生是为了解决阿里巴巴的算力问题，但是当正如王坚博士在《在线》一书开篇中所说——“云计算是关于信任的生意”，当阿里云将云计算以及云服务推向企业市场以后，取得“信任”就成为了云计算这门生意的关键。

在我的理解中，这种信任至少包含两个层面：

1、能够提供稳定高效的计算服务。

2、能够保障数据安全。

当云计算作为一项服务被推向市场，数据就变成了阿里云要誓死守护的“星辰”，只有此为前提，这些技术人想要用云计算技术搭建的未来，才能得以实现。

云上“星辰” 

云栖大会的前身是“阿里云开发者大会”，从2009年算起，云栖正好走过了10个年头。

10年过去，阿里云展台上的成员越来越多，软硬一体云服务器“神龙”、分布式存储平台“盘古”、逻辑网络平台“洛神”、物理资源管理系统“天基”，……。这些部分共同构成了飞天系统的内核，而数据安全则是这10年来，阿里云与云栖从未脱离讨论的问题，今年也不例外。

在今年阿里云新发布的云上安全架构中，无论是从横向还是纵向看，用户数据安全都在最中心的位置。

用户上云其实上是把自己的身家性命托付给了云服务商，阿里云智能基础产品技术架构部总监黄瑞瑞在接受嘶吼记者采访时讲到：

“用户上云后无论是关注网络安全也好，还是关注主机有没有被入侵也好，最终的终极结果是，用户想知道其在云上的数据有没有得到充分的保护。”                    

云上安全架构

为了在每个环节做好数据安全保护，黄瑞瑞在云栖大会现场首次提出了完整的云上数据安全生命周期，以实现对数据的全链路保护。

其中包括六个关键节点，以及每个节点所需要的安全能力：Ÿ

数据产生，需要对数据进行识别分类，根据不同数据的敏感层级不同选择不同的保护手段。Ÿ

数据传输，通过SSL证书服务、VPN网关服务等技术对数据进行传输加密。Ÿ

数据处理和数据交换，在这两个阶段，通过基于芯片级的SGX技术对运行时的数据进行加密，通过权限管控和数据脱敏、防泄漏检测等方式保障敏感数据不被泄露。Ÿ

数据存储，通过云产品的落盘加密能力、集成密钥管理服务、和完整的权限管控机制实现用户对密钥及加解密操作的全面控制权，并通过托管硬件密码机实现对密钥的硬件级别保护。Ÿ

数据销毁，通过逻辑清零，物理折弯、消磁等方式做到合规可靠的数据消除。

黄瑞瑞讲到，云上用户数据安全需要云平台与用户共同努力完成。云平台负责保障底层平台安全，同时会输出高等级的数据安全服务能力给到用户，与用户一起共同保障数据全生命周期的安全。

在这个过程中，如何做到数据上云后依然为自己所掌控是用户安心享受云计算红利的前提，阿里云的做法很简单，就是通过一套逐层递进的层层保护机制，将数据所有权和控制权完全交给客户。

层层守护

黄瑞瑞讲到，这套层层递进的数据保护机制可以用六个字来概括：可靠、可控、可见，这也是阿里云给用户建立信任机制的关键。首先要做到的是用户上的是一个具有“可靠的数据保护机制”的云平台，而不是一个动不动就宕机或被病毒入侵的平台，平台的安全稳定永远是用户数据安全的最大前提。

同时，作为云平台的基础设施能力，可信计算、全链路数据加密、SGX加密计算等企业很难做到的高等级数据保护的能力也因上云的发生而成为企业自身的基础能力。

在云平台作为用户的系统底座安全之后，需要把数据的完全控制权交给用户所有，这也就是第二个关键词“可控”。 

企业的数据明文通过加密算法进行加密后就会变成数据密文。加密算法无论国际还是国内都有严格的合规标准，就像一个数据保险箱，打开保险箱的唯一方式就是拿到保险箱的钥匙，即“密钥”。

黄瑞瑞讲到，阿里云要做的就是把加密算法的密钥，完全给到用户，让用户对数据的调用和读取具有完全的控制权。

用户的密钥材料可以由自己生成，并上传到经过国家密码管理局认证的硬件托管密码机中，只有用户自己知道托管密码机这个“黑匣子”里有什么，任何关于密钥的调用和使用都需要经过用户授权，且用户可以自定义授权使用的范围。

第三个关键词是“可见”。在为云上用户提供了可靠的数据保护机制、可控的密钥管理机制之后，阿里云将内部操作透明化给用户，让用户知道云平台侧发生了什么。

云服务与传统的IT架构的一大区别是，很多服务器运维工作都是由云服务商完成的，要保证这些运维都是合规的，就必须让用户清楚的见到运维工作的进行，解决办法是将云平台内部的操作流程生成日志，供用户查看。

这样还有一个重要的意义在于，可见性保证了任何操作的结果都是可以追溯到的。

用黄瑞瑞的话说就是：“这套层层递进的数据保护机制不仅是阿里云通过技术、机制管理等方式保护用户数据安全的努力实践，更是对“数据安全第一准则”的坚守。”

换成王坚博士的话来讲，取得“信任”是云计算这门生意的关键。

写在最后

云正在全方位地重塑企业架构。举个例子，单单就上文中提到用来储存密钥的硬件加密机，对于中小企业来讲哪怕部署一台也是一笔不小的开销，而真正用起来还需要付出搭建冗余集群，自建密钥管理设施等额外的研发和运维成本。

而对于大部分互联网创业企业来说，数据运算、存储、加密这一系列的流程无疑大大增加了自运营成本。

2015年，在计算界奥运会SortBenchmark的比赛上，阿里云计算系统“飞天”用不到7分钟（377秒）就完成了100TB的数据排序打破了ApacheSpark23.4分钟的世界纪录，更重要的是，这意味着计算的成本直线下降。

“飞天”只是一个名字，但是其所代表的背后意义是，这套云计算系统掌握了10亿GB级的数据存储与分析能力，在背后支撑守护着中国40%的网站。2016年，阿里云更换logo为：“[ - ]”

在程序语言中“[ - ]”意为“计算流动的数据”，2019年，阿里云升级为阿里云智能，云的发展势如破竹。与此同时，阿里云的数据防护体系也在不断的生长，越来越健壮，用一切可以利用的手段保护着这些流动的数据，让上云更安心。